Regulas (ES) 2024/1689 9. pants — Riska pārvaldības sistēma. Oficiālais teksts, praktiskā interpretācija, galvenie pienākumi un atbilstības sekas.
Oficiālā Teksta Kopsavilkums
Regulas (ES) 2024/1689 9. pants uzliek obligātu, nepārtrauktu riska pārvaldības sistēmu augsta riska MI sistēmu sniedzējiem visā sistēmas dzīves ciklā. Norma prasa, lai riska pārvaldības sistēma sastāvētu no iteratīva procesa, kas integrēts augsta riska MI sistēmas izstrādē un darbībā, regulāri atjaunināts, ņemot vērā jauno informāciju, kas savākta pēctirgus uzraudzības laikā.
Konkrēti, 9. pants prasa, lai sniedzēji: (a) identificētu un analizētu visus zināmos un saprātīgi paredzamos riskus, kas saistīti ar augsta riska MI sistēmu; (b) novērtētu un izvērtētu riskus, kas var materializēties, kad sistēma tiek izmantota atbilstoši paredzētajam mērķim un saprātīgi paredzamas ļaunprātīgas izmantošanas apstākļos; (c) izvērtētu riskus, kas izriet no pieejamajiem datiem un sistēmā iesaistīto personu uzvedības; un (d) pieņemtu piemērotus riska pārvaldības pasākumus, pamatojoties uz šo analīzi.
Riska pārvaldības pasākumiem jābūt tādiem, lai jebkurš atlikušais risks, kas saistīts ar katru apdraudējumu, kā arī augsta riska MI sistēmas kopējais atlikušais risks, tiktu atzīts par pieņemamu. 9. pants arī nosaka, ka testēšana jāveic, lai identificētu atbilstošus pasākumus, un ka šāda testēšana jāveic pret noteiktiem rādītājiem un varbūtības sliekšņiem. Īpaša uzmanība ir nepieciešama gadījumos, kad sistēma, visticamāk, mijiedarbosies ar bērniem vai citām neaizsargātām grupām. Informācija, kas izriet no operatoru pieredzes, jāienesa atpakaļ sistēmas sniedzēja riska pārvaldības procesā.
Ko Tas Nozīmē Praksē
- pants ir viens no operatīvi prasīgākajiem ES MI akta III sadaļas prasību. Tas attiecas uz jebkuru juridisko personu, kas kvalificējas kā augsta riska MI sistēmas sniedzējs — tas ir subjekts, kas izstrādā sistēmu vai liek to izstrādāt un laiž tirgū vai nodod ekspluatācijā ar savu vārdu vai preču zīmi.
Praksē atbilstība prasa izveidot dokumentētu riska pārvaldības satvaru pirms sistēmas laišanas tirgū. Tas nav tikai atzīmju pārbaudes vingrinājums: regula prasa iteratīvu procesu, kas turpinās visu produkta dzīves laiku, kas nozīmē, ka riska pārvaldības dokumentācijai ir jāattīstās, kad sistēma tiek atjaunināta, pārapmācīta vai izvietota jaunos kontekstos.
Atbilstoša riska pārvaldības sistēma parasti ietvers: strukturētu riska identificēšanas procedūru, kas aptver gan paredzēto izmantošanu, gan ticamus ļaunprātīgas izmantošanas scenārijus; riska novērtēšanas matricu, kas izvērtē kaitējuma varbūtību un smagumu; mazināšanas pasākumu katalogu ar dokumentētu to izvēles pamatojumu; formālu pirmstirdzniecības testēšanu pret noteiktiem rādītājiem; un mehānismu pēctirdzniecības atgriezeniskās saites absorbēšanai — tostarp operatoru sniegto incidentu datus — notiekošajā riska analīzē.
Piemēram, MI balstīta kredītnovērtēšanas rīka sniedzējam, kas klasificēts kā augsta riska saskaņā ar III pielikumu, jādokumentē, kā modelis varētu radīt diskriminējošus iznākumus, kādi tehniskie un organizatoriskie pasākumi samazina šo risku un kā reālās darbības dati aktivizēs pārvērtēšanu. MI sistēmai, kas tiek izmantota medicīnas kontekstā, turklāt jārisina paaugstinātais rūpības pienākums, kad iesaistīti neaizsargāti lietotāji. Riska pārvaldības rezultāti tieši baro 11. panta prasīto tehnisko dokumentāciju un atbilstības novērtēšanu saskaņā ar 43.–44. pantu.
Galvenie Pienākumi
- Izveidot un uzturēt pastāvīgu riska pārvaldības sistēmu, kas aptver visu augsta riska MI sistēmas dzīves ciklu, no projektēšanas līdz izslēgšanai, atjauninātu, ņemot vērā pēctirgus uzraudzības datus.
- Identificēt visus zināmos un saprātīgi paredzamos riskus, ieskaitot riskus, kas izriet no saprātīgi paredzamas ļaunprātīgas izmantošanas, no mijiedarbības ar citām sistēmām un no izvietošanas sociotehniski konteksta.
- Novērtēt un izvērtēt riskus attiecībā uz to rašanās varbūtību un iespējamā kaitējuma smagumu, ņemot vērā paredzēto mērķi un to personu kategorijas, kuras, visticamāk, tiks ietekmētas, ieskaitot neaizsargātās grupas un bērnus.
- Pieņemt riska pārvaldības pasākumus, kas samazina identificētos riskus līdz pieņemamam atlikušajam līmenim; ja tehniskie pasākumi nav pietiekami, tos jāpapildina ar organizatoriskiem vai informatīviem pasākumiem.
- Veikt pirmstirdzniecības testēšanu, izmantojot paredzētajam mērķim atbilstošus noteiktus rādītājus un varbūtības sliekšņus, lai apstiprinātu, ka izvēlētie pasākumi ir efektīvi un ka atlikušais risks ir pieņemams.
- Integrēt pēctirgus uzraudzības atgriezenisko saiti no operatoriem un galalietotājiem notiekošajā riska pārvaldības procesā, nodrošinot, ka sistēma paliek atsaucīga uz reāliem kaitējuma vai gandrīz negadījumu notikumu pierādījumiem.
Saistība ar Citiem Pantiem
-
pants atrodas 2. nodaļas prasību satvara centrā un struktūrāli ir saistīts ar vairākām citām normām. Tas paļaujas uz 6. pantu un III pielikumu sava darbības jomas noteikšanai: tā pienākumiem pakļautas tikai augsta riska kvalificētas sistēmas. 9. panta procesa rezultāti tieši baro 11. pantu (tehniskā dokumentācija), kas prasa sniedzējiem demonstrēt, ka atbilstoša riska pārvaldības sistēma pastāv un ir tikusi piemērota.
-
pants arī cieši saistīts ar 10. pantu (dati un datu pārvaldība), jo apmācību, validācijas un testu datu kvalitāte būtiski ietekmē riska profilu, kas jāpārvalda. 13. pants (pārredzamība un informācijas sniegšana) prasa, lai operatoriem tiktu paziņota noteikta ar risku saistīta informācija, un 14. pants (cilvēka uzraudzība) nosaka pasākumus, kas bieži kalpo kā pirmās rindas riska mazināšanas instrumenti saskaņā ar 9. pantu. 26. pants uzliek lejupstraumes pienākumus operatoriem uzraudzīt reālo izmantošanu un ziņot atbilstošu informāciju atpakaļ sniedzējiem, aizvēršot atgriezeniskās saites cilpu, ko prasa 9. pants. Visbeidzot, 72. pants (pēctirgus uzraudzība) formalizē datu vākšanas mehānismus, kas laika gaitā uztur iteratīvo riska pārvaldības procesu.
Atbilstības Grafiks
ES MI akts stājās spēkā 2024. gada 1. augustā. 9. pants kā galvenā 2. nodaļas prasība, kas piemērojama augsta riska MI sistēmām, seko III sadaļas pienākumu vispārējam atbilstības grafikam:
- 2024. gada 1. augusts — Regula stājas spēkā; lielākajai daļai augsta riska pienākumu sākas 24 mēnešu pārejas periods.
- 2025. gada 2. februāris — Kļūst piemērojami aizliegumi attiecībā uz nepieņemama riska MI praksi (5. pants). 9. pants vēl nav piemērojams.
- 2025. gada 2. augusts — Kļūst piemērojami noteikumi par vispārīga nolūka MI modeļiem (VIII sadaļa). 9. pants vēl nav obligāts lielākajai daļai augsta riska sistēmu.
- 2026. gada 2. decembris — 9. pants kļūst pilnībā piemērojams augsta riska MI sistēmām, kas uzskaitītas III pielikumā (MI sistēmas tādās jomās kā izglītība, nodarbinātība, pamatpakalpojumi, tiesībaizsardzība, migrācija un tiesvedības administrēšana). Sniedzējiem līdz šim datumam jābūt ieviestajai atbilstošajai riska pārvaldības sistēmai.
- 2027. gada 2. augusts — Pagarināts termiņš augsta riska MI sistēmām, kas ir produktu drošības komponenti, uz kuriem jau attiecas I pielikumā uzskaitītie esošie Savienības saskaņošanas tiesību akti (piemēram, mašīnbūve, medicīniskās ierīces, civilā aviācija).
Sniedzējiem, kas izstrādā vai iegādājas augsta riska MI sistēmas, jāuzskata 2026. gada 2. decembris par savu stingro termiņu 9. panta atbilstības sagatavotībai, laikus iekļaujot riska pārvaldības satvarus savos izstrādes procesos, lai atstātu laiku testēšanai, dokumentēšanai un atbilstības novērtēšanai.
Official AI Act Compliance Deadline Calendar
Updated · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.
| Obligation | Applies to | Original date | New date | Status | Countdown | Legal basis |
|---|---|---|---|---|---|---|
| Prohibited Practices (Art. 5) | All providers and deployers | active | — | AI Act Art. 5 | ||
| GPAI Rules (Chapter 5) | GPAI model providers | active | — | AI Act Art. 51-56 | ||
| High-risk AI — Annex III (standalone) | Providers of standalone Annex III systems | deferred | — | AI Omnibus 2026 Art. 6(2) | ||
| High-risk AI — Annex I (embedded) | AI embedded in Annex I regulated products | deferred | — | AI Omnibus 2026 Art. 6(1) | ||
| AI-Generated Content Marking | Providers of generative GPAI systems | active | — | AI Act Art. 50(2) | ||
| Regulatory Sandboxes | National competent authorities | active | — | AI Act Art. 57 |
⬇ Download JSON · CC BY 4.0
AI Act meets DORA and NIS2
Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.
Explore regulation-dora.eu ↗Frequently Asked Questions
Augsta riska MI sistēmu, kā definēts Regulas (ES) 2024/1689 6. pantā un III pielikumā, sniedzējiem ir jāizveido un jāuztur riska pārvaldības sistēma pirms sistēmas laišanas tirgū vai nodošanas ekspluatācijā.
Sistēmai jāidentificē un jāanalizē zināmie un saprātīgi paredzamie riski, jānovērtē riski, kas var rasties lietošanas laikā, jāpieņem atbilstoši riska pārvaldības pasākumi un jānodrošina, ka atlikušie riski tiek atzīti par pieņemamiem saskaņā ar regulu.
Nē. 9. pants prasa pastāvīgu, iteratīvu procesu, kas darbojas visā augsta riska MI sistēmas dzīves ciklā, ieskaitot uzraudzību pēc laišanas tirgū. Sistēma ir jāatjaunina, parādoties jaunai informācijai par riskiem.
9. pants skaidri prasa, lai sniedzēji ņemtu vērā riskus, kas izriet no saprātīgi paredzamas ļaunprātīgas izmantošanas — ne tikai paredzētās izmantošanas. Tas nozīmē, ka sniedzējiem jāanalizē ticami veidi, kā sistēma varētu tikt izmantota nepareizi vai negodprātīgi, un attiecīgi jāmazina šie riski.
9. panta 7. punkts prasa, lai testēšanas procedūras tiktu noteiktas un veiktas, lai identificētu piemērotākos riska pārvaldības pasākumus. Testēšana jāveic pret iepriekš noteiktiem rādītājiem un paredzētajam mērķim atbilstošiem varbūtības sliekšņiem, un tā ir jāveic pirms laišanas tirgū.
Stay ahead of AI Act changes
Get compliance alerts when deadlines or obligations change.
No spam. One-click unsubscribe.